El escándalo de Cambridge Analytica ha puesto al descubierto la opacidad con la que Facebook y otras redes sociales recogen, almacenan y comercializan la información personal de sus usuarios. Un total de 87 millones de clientes de Facebook se han visto afectados por esta fuga de datos, que acabaron en manos de una compañía que trabajaba para la campaña presidencial de Donald Trump. 2,7 millones de los afectados por la filtración eran ciudadanos de la UE, según ha admitido Facebook en una carta de explicaciones enviada este viernes a la comisaria de Justicia, Vera Jourova. Jourova hablará la semana que viene con la directora de operaciones de la empresa, Sheryl Sandberg, para pedirle aclaraciones adicionales sobre el caso.
"Desafortunadamente, las explicaciones se quedan cortas. Está claro que los datos de los europeos han quedado expuestos a enormes riesgos y no estoy segura de que Facebook haya dado todos los pasos necesarios para cambiar las cosas. Para mi esta historia no va sólo de protección de datos: es una amenaza a nuestra democracia y a los procesos electorales", sostiene la comisaria de Justicia.
Pese a todo, Bruselas cree tener la respuesta para impedir que abusos similares se repitan en el futuro. El próximo 25 de mayo entra en vigor el nuevo reglamento general de protección de datos de la Unión Europea, una norma aprobada en 2016 que endurece los requisitos que deberán cumplir Facebook, Google o Twitter si quieren procesar información personal. Y a la vez refuerza el control de los usuarios sobre sus propios datos de forma que puedan proteger mejor su vida privada. Los europeos aspiran a que esta legislación se convierta en un estándar mundial.
El reglamento llega tarde para afrontar el caso de Cambrige Analytica porque no puede aplicarse de forma retroactiva, según ha admitido Jourova. ¿Podrá impedir que vuelva a producirse un escándalo parecido? La nueva norma no prohíbe a las redes sociales procesar los datos de sus usuarios. Pero sí que refuerza los principios de transparencia y consentimiento. Las compañías estarán obligadas a informar del uso que van a dar a la información y deberán obtener la autorización expresa de los usuarios. Si más tarde deciden utilizar los datos para otros objetivos o pasárselos a otra empresa, en este caso Cambridge Analytica, tendrán que pedir de nuevo autorización.
Además, los gigantes de internet deberán informar tanto a las autoridades como a los afectados en caso de que se produzca una fuga de datos. Finalmente, el reglamento otorga nuevos poderes a las autoridades de protección de datos para imponer sanciones disuasorias a los incumplidores, que pueden llegar a 20 millones de euros o al 4% del volumen de negocios anual en todo el mundo.
En un intento de atajar el escándalo y reflotar la reputación de su compañía, el propio fundador de Facebook, Mark Zuckerberg, se muestra dispuesto a extender a nivel mundial la aplicación de la nueva norma de la UE, que considera "muy positiva". "Haremos que todos los controles y la configuración sean los mismos en todo el mundo, no solo en Europa", ha dicho Zuckerberg en una reciente entrevista. Estos son los principales derechos que el nuevo reglamento reconoce a los usuarios.
DERECHO A UNA INFORMACIÓN CLARA Y SENCILLA: Las compañías tecnológicas estarán obligadas a explicar para qué fines se utilizarán los datos que recaban, durante cuánto tiempo se conservarán y con quién se compartirán. Los usuarios deberán dar su consentimiento inequívoco, que pueden retirar en cualquier momento, de forma que las empresas ya no podrán esconderse tras unas condiciones de uso interminables y burocráticas que nadie lee.
DERECHO AL ACCESO Y A LA RECTIFICACIÓN: El reglamento consagra el derecho de los usuarios a solicitar el acceso a todos los datos personales que una empresa tenga sobre ellos, de forma gratuita, y a obtener una copia en un formato accesible. Los errores en los datos personales pueden tener importantes repercusiones para los afectados, especialmente al solicitar préstamos, seguros y créditos. Por ello, los ciudadanos podrán pedir a compañías como Facebook que corrijan los datos incorrectos, incompletos o inexactos, algo que debe hacerse sin dilación indebida.
DERECHO A LA PORTABILIDAD: Si un usuario quiere cambiarse de red social en internet, de empresa de servicios en la nube o incluso de banco online, tendrá derecho a pedir a su compañía que extraiga todos sus datos personales y los transmita al nuevo proveedor. El traslado debe hacerse en un formato de uso común y de lectura mecánica para que puedan utilizarse sin dificultad en otros sistemas. La portabilidad de datos facilitará a los usuarios, por ejemplo, marcharse a redes sociales que protejan mejor su intimidad.
DERECHO A SER AVISADO EN CASO DE FUGA: Una empresa que sufra una brecha de datos que ponga a particulares en situación de riesgo estará obligada a notificarlo a la autoridad de protección de datos en un plazo máximo de 72 horas. También tendrá que informar personalmente a los afectados sin demoras injustificadas. El reglamento prevé sanciones para las compañías que no lo hagan.
DERECHO AL OLVIDO: Cualquier usuario tendrá derecho a que se borren sus datos personales, por ejemplo la información que haya descargado en una red social, si así lo reclama. Este derecho se refuerza para el caso de los menores. Además, si una persona pide a una empresa como Facebook o Google que borre sus datos, la compañía deberá remitir la petición a otros sitios donde esta información se haya replicado. No obstante, el derecho al olvido queda limitado por el ejercicio de la libertad de expresión e información. Su aplicación en cada caso seguirá estando en manos de las autoridades de protección de datos o de los tribunales.
MULTAS DISUASORIAS PARA LOS INCUMPLIDORES: Todas las autoridades de protección de datos tendrán la facultad de imponer multas de hasta 20 millones de euros o el 4 % del volumen de negocios anual mundial de la empresa incumplidora.